Перейти к содержанию

[РЕШЕНО] Удалить самовосстанавливающийся HEUR:Trojan.Win64.Miner.gen


Рекомендуемые сообщения

Касперский обнаружил вредоносное приложение. Пытался несколько раз вылечить, но после перезагрузки ноутбука троян восстанавливается. Расположение: C:\ProgramData\VirtuVault-fe547bd1-1f9a-4234-96be-d457507c1c50

CollectionLog-2024.04.06-14.40.zip

Ссылка на сообщение
Поделиться на другие сайты

подготовьте, пожалуйста, дополнительные логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на сообщение
Поделиться на другие сайты

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\DELL\APPDATA\LOCAL\PROGRAMS\95C9DF46593390\01A60FF0D4.MSI
delall %SystemDrive%\USERS\DELL\APPDATA\LOCAL\PROGRAMS\95C9DF46593390\01A60FF0D4.MSI
ZOO C:\Windows\SysWOW64\crave627.dat
delall C:\Windows\SysWOW64\crave627.dat
DIRZOOEX C:\ProgramData\VirtuVault-fe547bd1-1f9a-4234-96be-d457507c1c50
deldirex C:\ProgramData\VirtuVault-fe547bd1-1f9a-4234-96be-d457507c1c50
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\CHIMNEY-DIFFERENCE\BIN.EXE
delall %SystemDrive%\USERS\DELL\APPDATA\LOCAL\PROGRAMS\95C9DF46593390\01A60FF0D4.MSI
zoo %SystemRoot%\SYSWOW64\WIZCHAIN.DLL
addsgn A7679BC9DE37442480A1A234929F997835FFF575B4D6953985C32E9AD328703826943D554B773C0DA1C1841A866240AD2B8C17A2D01AC4207A21F7C7D2F9DD8C 64 Miner.gen 7

chklst
delvir

delref D:\AUTORUN.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDBCCIMAGKGNAAFAHAAEKNNKINDIIOPL%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3DONDEMAND%26UC
apply

delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\USERS\DELL\APPDATA\LOCAL\PROGRAMS\OPERA\AUTOUPDATE\OPERA_AUTOUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TROJAN REMOVER\TRJSCAN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TROJAN REMOVER\TRUPD.EXE
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES (X86)\ALCOHOL SOFT\ALCOHOL 120\AXSHLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ALCOHOL SOFT\ALCOHOL 120\AXSHLEX64.DLL
delref %SystemDrive%\PROGRA~2\TROJAN~1\TRSHLE~1.DLL
delref %SystemDrive%\USERS\DELL\APPDATA\LOCAL\TEMP\RAR$EXB4552.320\PROGRAMS\KMSAUTO LITE PORTABLE V1.5.6\KMSAUTO X64.EXE
delref %SystemDrive%\USERS\DELL\APPDATA\LOCAL\TEMP\RAR$EXB4552.320\PROGRAMS\KMSAUTO LITE PORTABLE V1.5.6\KMSAUTO_FILES
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %SystemRoot%\KMSAUTOS
delref %SystemRoot%\KMSAUTOS\KMSAUTO X64.EXE
delref %SystemRoot%\KMSAUTOS\KMSAUTO_FILES
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES (X86)\ALCOHOL SOFT\ALCOHOL 120\AXAUTOMNTSRV.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ALCOHOL SOFT\ALCOHOL 120\AXAHCISERVICEEX.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICEAE.EXE
delref %SystemDrive%\USERS\DELL\DESKTOP\XX\UDUZSA
delref %SystemDrive%\USERS\DELL\DESKTOP\XX\RQLJUO
delref %SystemDrive%\USERS\DELL\DESKTOP\XX\YBKUMR
;-------------------------------------------------------------

restart
regt 40
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Ссылка на сообщение
Поделиться на другие сайты

управляющая dll должна быть очищена.

Удаление файлов...
C:\WINDOWS\SYSWOW64\WIZCHAIN.DLL будет удален после перезагрузки

 

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-04-01 21:09 - 2024-04-06 12:29 - 000000000 __SHD C:\ProgramData\VirtuVault-fe547bd1-1f9a-4234-96be-d457507c1c50
2024-04-01 21:09 - 2024-04-01 21:09 - 001134147 _____ C:\Windows\SysWOW64\crave627.dat
2024-04-01 21:09 - 2024-04-01 21:09 - 000125456 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wizchain.dll
2024-03-30 21:11 - 2024-03-30 21:11 - 000000000 _RSHD C:\ProgramData\WindowsTask
2024-03-30 21:11 - 2024-03-30 21:11 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
2024-03-30 21:11 - 2024-03-30 21:11 - 000000000 _RSHD C:\ProgramData\Setup
2024-03-30 21:11 - 2024-03-30 21:11 - 000000000 _RSHD C:\ProgramData\ReaItekHD
2024-03-30 21:11 - 2024-03-30 21:11 - 000000000 _RSHD C:\Program Files\RDP Wrapper
2024-03-30 21:11 - 2024-03-30 21:11 - 000000000 _RSHD C:\Program Files (x86)\360
2024-03-24 12:55 - 2024-04-05 19:25 - 000000000 ____D C:\ProgramData\cVeyZFosQjUGhzVB
2024-03-24 12:55 - 2024-03-24 12:57 - 000000000 ____D C:\Program Files (x86)\XjhyZzwkXSWyC
2024-03-24 12:55 - 2024-03-24 12:57 - 000000000 ____D C:\Program Files (x86)\SpxblGFlJmbSdphOWAR
2024-03-24 12:55 - 2024-03-24 12:57 - 000000000 ____D C:\Program Files (x86)\lSJHxSrgcIUn
2024-03-24 12:55 - 2024-03-24 12:57 - 000000000 ____D C:\Program Files (x86)\FuOvEdCVQSMU2
2024-03-24 12:54 - 2024-03-24 14:19 - 000000000 ____D C:\Program Files (x86)\BqeSnNShU
2024-03-11 09:40 - 2024-03-11 10:40 - 000000000 ____D C:\Users\Dell\MediaGet2
AlternateDataStreams: C:\Users\Dell\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Dell\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [{044AD1A6-A921-4C5D-9760-A8C1B3286F57}] => (Allow) 㩃啜敳獲䑜汥屬灁䑰瑡屡潒浡湩屧潴屣浭穲⹗硥e => Нет файла
FirewallRules: [{77B2FF67-E7F8-41E1-B848-F7882A0CE2EF}] => (Allow) 㩃啜敳獲䑜汥屬灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{F1494EFC-F8FB-45FE-949C-1EB42351FF46}] => (Allow) 㩃啜敳獲䑜汥屬灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{0F6CFB9E-30A2-44F3-8FFD-52498EC5DF13}] => (Allow) 㩃啜敳獲䑜汥屬灁䑰瑡屡潒浡湩屧潴屣䑲㙭攮數 => Нет файла
FirewallRules: [{C94B6C60-8A8E-4FB1-B256-4B7E4C8D00FC}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{49C080CF-38C8-41A0-886A-3971FB7AB766}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{56E1098A-46A2-48AE-B0F0-FC6574EB16E0}] => (Allow) C:\Users\Dell\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{0C16FA35-7D89-4DFA-8FA1-71FAB21F461B}] => (Allow) C:\Users\Dell\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{30EE430E-4053-421E-8CA7-A7D79DE1BB39}] => (Allow) C:\Users\Dell\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{A1095B13-8B73-433F-A3DF-CF6CCEE32378}] => (Allow) C:\Users\Dell\MediaGet2\QtWebEngineProcess.exe => Нет файла
2024-03-30 21:11 C:\Program Files\RDP Wrapper
2024-03-30 21:11 C:\Program Files (x86)\360
2024-03-30 21:11 C:\ProgramData\ReaItekHD
2024-03-30 21:11 C:\ProgramData\Setup
2024-03-30 21:11 C:\ProgramData\Windows Tasks Service
2024-03-30 21:11 C:\ProgramData\WindowsTask
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Ссылка на сообщение
Поделиться на другие сайты

Вот

Fixlog.txt

 

Уведомление продолжает присылать, хотя при переходе к расположению файла отправляет в документы. После перезагрузки всё хорошо, поэтому я надеюсь его больше не будет. Спасибо за помощь

2024-04-06.png

Ссылка на сообщение
Поделиться на другие сайты

Видимо угроза не была удалена антивирусом при обнаружении, поэтому и высвечивается в списке угроз. На самом деле мы все зачистили скриптами.

 

В завершении:

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении
Ссылка на сообщение
Поделиться на другие сайты

По возможности, обновите ПО:

 

Microsoft Office Standard 2019 - ru-ru v.16.0.10408.20002 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления

WinRAR 6.11 (64-bit) v.6.11.0 Внимание! Скачать обновления

OpenVPN 2.5.8-I604 amd64 v.2.5.040 Внимание! Скачать обновления

Java(TM) 6 Update 41 v.6.0.410 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u401-windows-i586.exe - Windows Offline).

Yandex v.24.1.5.736 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

toc v.1.55 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция

Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Auyr
      От Auyr
      Здраствуйте, хочу уточнить, что на данный момент актуальная проблема это обнаруженный троян утилитой "Kaspersky Virus Removal Tool"(прикрепляю все скрины) , а также я проверил с помощью avz 4 мне также выдали 2 файла с трояном, также меня очень волнует в истории браузера при заходе на свою страницу "Вконтакте" возникают в огромном количестве непонятные ссылки каждую минуту около 100 штук, при переходе на которые ведут на начальную страницу со входом в аккаунт "ВК"(прикрепляю ссылки) такое я замечал еще ранее, на протяжении года минимум, также 30.04.24 возник экран смерти с ошибкой DCP_WATCH_violation (я перезагрузил ПК, далее подозрительных действий не наблюдалось)
      Скажу что был случай заражения вирусом в 2021 году в то время я снес виндоувс, (отформатировал полностью системный диск С) однако я не стал форматировать второй диск D, и вот сегодня 11.05 решил также проверить диск D и обнаружил как раз остатки трояна, однако до сегодняшнего момента очень явных признаков я не наблюдал (на протяжении 3 лет) , только если сослаться на торможение слегка своего ПК
      Скажу что использую базовую версию антивируса платного Касперский.
      Насчет файла default.rpd я взял сохраненное сообщение на другом форуме где мне не помогли привожу его ниже:
      """""Началось 2 июня 2023 , когда сидел в discord я начал демонстрацию экрана и заметил roaming window (предложено было дискордом демонстрировать данное окно, которое было черное) далее я начал проверку avz и когда она подходила к концу, неожиданно в чате дискорда началось печатания каких то букв , в этот момент я ничего не писал( клавиатура чиста, это не техника) текст был такой примерно "еуеуеуеуеуеуеу" далее я заметил в скрытых значках сенсорную клавиатуру, её значок ( у меня windows 10) которую я не открывал и не мог ее закрыть долгое время(сенсорная клавиатура появилась задолго до этого момента , я просто не обращал внимания) , далее я решил просто удалить старый антивирус бесплатный dr web и установил пробную версию премиум касперского и после этого вроде других действий не замечал до момента когда в папку документов появился скрытый документ default.rpd с размером 0 кб и созданием в тот момент когда я возился с проверками (2 июня ночью)""""
      Также уточню что 10.05.24 (вчера) установил solidworks крякнутый в сайта diakov (я уже пользовался им, проверенный, устанавливал офисы2016 и adobe), там я вводил какие то изменения в реестр по инструкции, ссылался на локальный хост, отключал сеть, программа работает. 
      Внизу прикладываю также скрины найденных файлов вирусных разными сканерами - avz(отдельно сканировал им без аутологгера)--2 файла удаленных привожу полное наименование одного из (CWindowsservicingLCUPackage_for_RollupFix~31bf3856ad364e35~amd64~~19041.4291.1.10amd64_microsoft-windows-m..nt-browser.appxmain_31bf3856ad364e35_10.0.19041.3636_none_708b8c01b2212346fsquare44x44logo.targetsize-48_altform-unplated_contrast-white.png)
      Если возникнут вопросы отвечу на всё и попытаюсь быстро реагировать 





      CollectionLog-2024.05.11-12.53.zip
    • DanM
      От DanM
      Здравствуйте, обнаружил на своем компьютере Trojan:MSIL/Wemaeye.A.
      Ниже прикрепляю логи из приложения Farbar Recovery Scan Tool, помогите, пожалуйста, избавиться от этого трояна.
      logs.zip
    • aronone
      От aronone
      Здравствуйте, заметил нагрузку на процессор, проверил куррейтом нашел NET:MALWARE.URL и Trojan.PWS.Banker. , вылечить не получилось, но после перезагрузки куррейт перестал находить вирусы, хотел бы почистить комп полностью
      CollectionLog-2024.04.23-09.35.zip cureit.rar
    • hyacins
      От hyacins
      Здравствуйте! При попытке скачать эксель (видимо, первая ссылка в браузере меня оказалась с подвохом) получила троян со страшным длинным названием. Касперский его обнаружил и предложил удалить, на что я согласилась. Но после он начал присылать мне, что обнаружил и запретил приложение WmiPrvSE.exe. Я провела полную проверку, угроз не обнаружено, но во время неё Касперский каждые 5 минут присылал одно и то же уведомление с обнаружением и запрещением того самого приложения и продолжает до сих пор. Скажите, что делать, пожалуйста..
      CollectionLog-2024.04.22-02.39.zip
    • ApploDi
      От ApploDi
      Здравствуйте, Касперский обнаружил троян, который не может вылечить, по такому пути C:\ProgramData\MoviGenius-463f7f01-be9f-4alb-ald3-094336fc5947\MoviGenius.exe
      Удаляет, но с каждой перезагрузкой снова его обнаруживает
      CollectionLog-2024.04.19-16.32.zip
×
×
  • Создать...